Versio |
Tekijä |
Päiväys |
0.1 |
Jouni Poikolainen |
23.8.2006 |
0.2 |
Jouni Poikolainen |
31.8.2006 |
0.3 |
Kimmo Hamalainen |
5.1.2007 |
0.4 |
Kimmo Hamalainen |
20.2.2008 |
0.5 |
Kimmo Hamalainen |
13.1.2009 |
0.6 |
Kimmo Hamalainen |
22.5.2013 |
0.7 |
Kimmo Hamalainen |
5.2.2018 |
0.8 |
Kimmo Hamalainen |
25.5.2018 |
0.9 |
Kimmo Hamalainen |
12.11.2024 |
Tässä dokumentissa ollaan kiinnostuneita käyttäjätietokannan ja sen tietojen ajantasaisuuden toteutuksen yleisistä periaatteista sellaisella tasolla, joka antaa riittävät tiedot käyttäjätietojen laadun ja ajantasaisuuden arvioimiseksi.
Kotiorganisaatio asettaa tämän dokumentin www:hen kaikkien saataville. Dokumentti linkitetään Haka-infrastruktuurin kotisivulta.
Tässä dokumentissa käyttäjätietokannalla tarkoitetaan sitä loppukäyttäjien attribuuttien joukkoa, johon organisaation Shibboleth origin tukeutuu. Käyttäjätietokannan tekninen toteutus voi olla esim. LDAP-hakemisto tai relaatiotietokanta, tai niiden yhdistelmä niin, että Shibboleth origin -palvelin hakee osan attribuuteista LDAP-hakemistosta ja osan JDBC:n yli opiskelijarekisteristä.
Lähtöoletuksena on, että opiskelijarekisterin henkilötiedot ovat ajantasalla.
Miten käyttäjätietokanta on kytketty opiskelijarekisteriin?
Tiedot sykronoidaan opintohallintojärjestelmästä.
Miten uuden opiskelijan tiedot päivittyvät opiskelijarekisteristä käyttäjätietokantaan?
Raaliajassa
Miten opiskelijan muuttuneet tiedot päivittyvät opiskelijarekisteristä käyttäjätietokantaan?
Tiedot päivitettyvät reaaliajassa
Koska organisaatio katsoo, että opiskelija lakkaa olemasta opiskelija? (Kuinka pian sen jälkeen opiskelija valmistuu/eroaa? Kuinka pian sen jälkeen kun lukukausi vaihtuu ja opiskelija ei ole ilmoittautunut läsnäolevaksi?)
Miten tämä tieto päivittyy käyttäjätietokantaan?
a) silloin kun opiskelija valmistuu. Eli opintotoimisto merkitsee opiskelijan valmistuneeksi, jonka jälkeen opiskelijalla on viikon verran mahdollista kirjautua järjestelmiin, ennenkuin tunnus lukittuu.
b) silloin kun opiskelija ei ole ilmoittautunut läsnä olevaksi ilmoittautumisajan sisällä. Tällöin tunnusta ei lukita, mutta merkitään käyttäjän oikeuksiin, ettei haka-kirjautumista sallita.
c) silloin kun opiskelija ilmoittaa keskeyttävänsä opintonsa, jolloin hänen tunnuksensa lukitaan.
Tiedot päivittyvät välittömästi siirtotiedoston avulla, jonka jälkeen kirjautuminen ei ole enää mahdollista. Tunnukset säilyvät järjestelmässä kuitenkin vielä kaksi viikkoa.
Vastaavasti kuin edellä.
Käyttäjähallinto luo uuden tunnuksen kun työsopimus tehdään. Käytännössä tämä tapahtuu siten, että henkilöstöpalveluissa käsitellään työntekijän työsopimus ja erillisen www-sivun kautta ilmoitetaan uudesta tunnuksesta. Tämän jälkeen käyttäjähallinto luo työntekijälle tunnuksen.
Käyttäjähallinto päivittää työntekijän tiedot mikäli sellaiselle ilmaantuu tarvetta, ts. käyttäjä esittää perustellun syyn muutokselle.
Henkilöstöhallinta ilmoittaa käyttäjähallintaan työsuhteen loppumisesta, jonka jälkeen käyttäjätunnus lukitaan.
Mille muille käyttäjille organisaatio antaa käyttäjätunnuksia (Suomen Akatemian tutkijat? Ravintolahenkilökunta? Siviilipalvelusmiehet? Dosentit? Alumnit? Emeritukset? Kirjaston asiakkaat?)
Miten heidän käyttäjätietojensa ajantasaisuus ja sulkeutuminen/roolitiedon päivittyminen on varmistettu?
Sellaiset käyttäjät, jotka eivät ole luonnollisia henkilöitä (esim. ainejärjestöt), eivät ole myöskään Haka-infrastruktuurin tarkoittamia loppukäyttäjiä, eikä heidän kirjautumistaan shibboleth originin kautta palveluihin tule sallia.
Muita tunnuksia hallinnoidaan yksityiskohtaisesti. Tunnukset ovat omassa organisaatioyksikössään, eikä niille siten sallita Shibboleth-origin kautta kirjautumista.
Millä tavalla uuden käyttäjän henkilöllisyys todennetaan, kun hänelle annetaan käyttäjätunnus?
Tunnus annetaan vahvaa tunnistautumista tai kuvallista henkilöllisyystodistusta vastaan.
Salasanatodennukseen liittyvät laatuvaatimukset.
Salasanan minimipituus 8 merkkiä ja vaihdettava vuoden välein. Samaa salasanaa ei voi käyttää uudestaan.
Rasti kohtaan "Saatavuus", jos kyseinen henkilötieto on ajantasalla ja siten saatavilla Shibboleth origin-palvelimen yli.
Kohtaan "Miten ajantasaisuus turvataan" esimerkiksi viittaus luvun 1. järjestelmiin.
Jos organisaatiolla on omia (ei siis funetEduPersonin mukaisia) attribuutteja, jotka näkyvät ulospäin Shibboleth originista, lisää ne taulukon loppuun. Tarvittaessa linkki dokumenttiin, joka tarkemmin kuvailee omien attribuuttien skeeman.
Attribuutti |
Saatavuus |
Miten ajantasaisuus turvataan |
Muuta (esim. tulkintaohje) |
cn |
X |
1.1, 1.2 |
|
sn |
X |
1.1, 1.2 |
|
uid |
X |
Generoidaan tunnuksen luonnin yhteydessä. |
|
givenname |
X |
|
|
X |
|
|
|
funetEduPersonHomeOrganization |
|
|
|
telephoneNumber |
X |
|
|
description |
|
|
|
seeAlso |
|
|
|
userPassword |
|
|
|
title |
X |
|
|
street |
|
|
|
facsimileTelephoneNumber |
|
|
|
o |
|
|
|
postalAddress |
|
|
|
postalCode |
|
|
|
ou |
X |
|
|
displayName |
X |
1.1, 1.2 |
|
jpegPhoto |
|
|
|
labeledURI |
|
|
|
userCertificate |
|
|
|
preferredLanguage |
|
|
|
homePhone |
|
|
|
homePostalAddress |
|
|
|
mobile |
X |
|
|
eduPersonAffiliation |
X |
1.1 |
student - employee |
eduPersonScopedAffiliation |
X |
1.1 |
student@jamk.fi - employee@jamk.fi |
eduPersonTargetId |
X |
|
|
eduPersonPrimaryAffiliation |
X |
1.1 |
student - employee |
eduPersonEntitlement |
X |
|
|
eduPersonAssurance |
X |
|
|
eduPersonPrincipalName |
X |
Generoidaan tunnuksen luonnin yhteydessä. |
user@jamk.fi |
employeeNumber |
X |
Generoidaan tunnuksen luonnin yhteydessä. |
|
nationalIdentificationNumber |
X |
|
|
eduPersonOrgDN |
|
|
|
eduPersonOrgUnitDN |
|
|
|
eduPersonPrimaryOrgUnitDN |
|
|
|
funetEduPersonIdentityCode |
|
|
|
funetEduPersonDateOfBirth |
|
|
|
funetEduPersonTargetDegreeUniversity |
|
|
|
funetEduPersonTargetDegreePolytechnic |
|
|
|
funetEduPersonEducationalProgramUniv |
|
|
|
funetEduPersonEducationalProgramPolytech |
|
|
|
funetEduPersonOrientationAlternPolytech |
|
|
|
funetEduPersonMajorUniv |
|
|
|
funetEduPersonStudentID |
|
|
|
schacHomeOrganization |
X |
Vakiotieto jamk.fi |
jamk.fi |
schacHomeOrganizationType |
X |
|
fi:polytechnic |
funetEduPersonProgram |
X |
|
|
|
|
|
|
|
|
|
|
Yksi henkilöllisyys per tosielämän käyttäjä, vai
Yksi henkilöllisyys per rooli (esim. opiskelija-työntekijällä kaksi käyttäjätunnusta)?
Pääasiassa yksi henkilöllisyys per tosielämän käyttäjä, mutta voi olla joitain joilla on esim opiskelija ja henkilökuntatunnus.
Voiko eduPersonPrincipalName vaihtua?
Vaihdetaan vain jos omistaja esittää erittäin perustellun syyn.
Millä tavalla organisaatio kierrättää vapautuneita eduPersonPrincipalName-arvoja?
Vapaituneita eduPersonPrincipanName-arvoja ei kierrätetä.